Due vulnerabilità di sicurezza critiche e di elevata gravità nel popolarissimo plug-in SEO WordPress “All in One” hanno esposto oltre 3 milioni di siti Web ad attacchi di acquisizione.
I difetti di sicurezza scoperti e segnalati dal ricercatore di sicurezza di Automattic Marc Montpas sono un bug critico di Authenticated Privilege Escalation (CVE-2021-25036) e un’elevata gravità Authenticated SQL Injection (CVE-2021-25037).
Oltre 800.000 siti WordPress vulnerabili
Lo sviluppatore del plugin ha rilasciato un aggiornamento di sicurezza per risolvere entrambi i bug All in One il 7 dicembre 2021.
Tuttavia, secondo le statistiche di download delle ultime due settimane dal rilascio della patch , più di 820.000 siti che utilizzano il plug-in devono ancora aggiornare la propria installazione e sono ancora esposti ad attacchi.
Ciò che rende questi difetti altamente pericolosi è che, anche se per sfruttare con successo le due vulnerabilità è necessario autenticare gli attori delle minacce, hanno solo bisogno di autorizzazioni di basso livello come Abbonato per abusarne negli attacchi.
Abbonato è un ruolo utente predefinito di WordPress (proprio come Collaboratore, Autore, Editor e Amministratore), comunemente abilitato per consentire agli utenti registrati di commentare gli articoli pubblicati sui siti WordPress.
Sebbene gli abbonati siano in genere solo in grado di modificare il proprio profilo oltre a pubblicare commenti, in questo caso possono sfruttare CVE-2021-25036 per elevare i propri privilegi e ottenere l’esecuzione di codice remoto su siti vulnerabili e, probabilmente, assumerli completamente.
| Data | Download |
| 2021-12-07 | 336738 |
| 2021-12-08 | 1403672 |
| 2021-12-09 | 68941 |
| 2021-12-10 | 45392 |
| 2021-12-11 | 31346 |
| 2021-12-12 | 26677 |
| 2021-12-13 | 35666 |
| 2021-12-14 | 34938 |
| 2021-12-15 | 72301 |
| 2021-12-16 | 28672 |
| 2021-12-17 | 24699 |
| 2021-12-18 | 18774 |
| 2021-12-19 | 17972 |
| 2021-12-20 | 25388 |
| Totale | 2171176 |
Gli amministratori di WordPress hanno esortato ad aggiornare al più presto
Come ha rivelato Montpas, aumentare i privilegi abusando di CVE-2021-25036 è un compito facile sui siti che eseguono una versione SEO All in One senza patch “cambiando un singolo carattere in maiuscolo” per ignorare tutti i controlli sui privilegi implementati.
“Questo è particolarmente preoccupante perché alcuni degli endpoint del plug-in sono piuttosto sensibili. Ad esempio, l’endpoint aioseo/v1/htaccess può riscrivere il file .htaccess di un sito con contenuti arbitrari”, ha spiegato Montpas.
“Un utente malintenzionato potrebbe abusare di questa funzione per nascondere backdoor .htaccess ed eseguire codice dannoso sul server.”
Si consiglia agli amministratori di WordPress che ancora utilizzano le versioni All In One SEO interessate da queste gravi vulnerabilità (tra 4.0.0 e 4.1.5.2) che non hanno già installato la patch 4.1.5.3 di farlo immediatamente.
“Ti consigliamo di verificare quale versione del plug-in SEO All In One sta utilizzando il tuo sito e, se rientra nell’intervallo interessato, aggiornalo il prima possibile”, ha avvertito il ricercatore una settimana fa.